En plus de l'authentification d'utilisateur locale, vous pouvez ajouter un serveur d'authentification externe (AD, LDAP, Radius ou RSA) lié à la passerelle SSL. Tous les utilisateurs ayant des comptes sur le serveur authentifié lié seront authentifiés.

Le délai d'authentification maximal via VPN SSL est de 3 minutes. Cela est dû au fait que le délai d'interruption en cas d'absence d'authentification est de 3 minutes et qu'il ne s'agit pas d'une propriété configurable. En conséquence, dans des scénarios dans lesquels le délai d'interruption de l'authentification AD est défini sur plus de 3 minutes ou en cas de serveurs d'authentification multiples dans une autorisation en chaîne nécessitant un délai d'authentification supérieur à 3 minutes, vous ne serez pas authentifié.

Procédure

  1. Dans l'onglet VPN-Plus SSL (SSL VPN-Plus), sélectionnez Authentification (Authentication) dans le panneau de gauche.
  2. Cliquez sur l'icône Ajouter (Add) (icône Ajouter).
  3. Sélectionnez le type de serveur d'authentification.
  4. Selon le type de serveur d'authentification que vous avez sélectionné, remplissez les champs suivants.
    • Serveur d'authentification AD
      Tableau 1. Options de serveur d'authentification AD
      Option Description
      Activer SSL (Enable SSL) L'activation de SSL établit un lien chiffré entre un serveur Web et un navigateur.
      Note : Des problèmes peuvent se produire si vous n'activez pas SSL et si vous essayez de modifier le mot de passe à l'aide de l'onglet VPN-Plus SSL ou à partir de la machine client ultérieurement.
      Adresse IP (IP Address) Adresse IP du serveur d'authentification.
      Port Affiche le nom du port par défaut. Modifiez-le si nécessaire.
      Délai d'expiration (Timeout) Période en secondes pendant laquelle le serveur AD doit répondre.
      État (Status) Sélectionnez Activé (Enabled) ou Désactivé (Disabled) pour indiquer si le serveur est activé ou non.
      Base de recherche (Search base) Partie de l'arborescence des répertoires externe dans laquelle effectuer la recherche. La base de recherche peut être l'équivalent de l'unité d'organisation (UO), du contrôleur de domaine (DC) ou du nom de domaine (AD) du répertoire externe.

      Exemples :

      • OU=Users,DC=aslan,DC=local
      • OU=VPN,DC=aslan,DC=local
      Bind DN Utilisateur sur le serveur AD externe autorisé à rechercher le répertoire AD au sein de la base de recherche définie. Le plus souvent, le Bind DN est autorisé à effectuer des recherches dans tout le répertoire. Le rôle du Bind DN est d'interroger le répertoire à l'aide du filtre de requête et de la base de recherche pour le nom unique pour authentifier les utilisateurs AD. Lorsque le nom unique est renvoyé, celui-ci et le mot de passe sont utilisés pour authentifier l'utilisateur AD.

      Exemple : CN=ldap.edge,OU=users,OU=Datacenter Users,DC=aslan,DC=local

      Relier le mot de passe (Bind Password) Mot de passe permettant d'authentifier l'utilisateur AD.
      Confirmer le mot de passe relié (Retype Bind Password) Confirmez le mot de passe.
      Nom d'attribut de connexion (Login Attribute Name) Nom avec lequel l'ID d'utilisateur entré par l'utilisateur distant est mis en correspondance. Pour Active Directory, le nom d'attribut de connexion est sAMAccountName.
      Filtre de recherche (Search Filter) Valeurs de filtre par lesquelles la recherche doit être limitée. Le format du filtre de recherche est attribute operator value.

      Si vous avez besoin de limiter la base de recherche à un groupe spécifique dans Active Directory et d'interdire la recherche à l'ensemble de l'unité d'organisation,

      • ne placez pas le nom de groupe dans la base de recherche, mais indiquez simplement OU et DC.
      • Ne placez pas objectClass et memberOf dans la même chaîne de filtre de recherche. Exemple de format correct pour le filtre de recherche : memberOf=CN=VPN_Users,OU=Users,DC=aslan,DC=local
      Utiliser ce serveur pour l'authentification secondaire (Use this server for secondary authentication) Si cette option est sélectionnée, ce serveur AD est utilisé comme deuxième niveau d'authentification.
      Fermer la session si l'authentification échoue (Terminate Session if authentication fails) Lorsque cette option est sélectionnée, la session se termine si l'authentification échoue.
    • Serveur d'authentification LDAP
      Tableau 2. Options du serveur d'authentification LDAP
      Option Description
      Activer SSL (Enable SSL) L'activation de SSL établit un lien chiffré entre un serveur Web et un navigateur.
      Adresse IP (IP Address) Adresse IP du serveur externe.
      Port Affiche le nom du port par défaut. Modifiez-le si nécessaire.
      Délai d'expiration (Timeout) Période en secondes pendant laquelle le serveur AD doit répondre.
      État (Status) Sélectionnez Activé (Enabled) ou Désactivé (Disabled) pour indiquer si le serveur est activé ou non.
      Base de recherche (Search base) Partie de l'arborescence des répertoires externe dans laquelle effectuer la recherche. La base de recherche peut être l'équivalent de l'organisation, du groupe ou du nom de domaine (AD) du répertoire externe.
      Bind DN Utilisateur sur le serveur externe autorisé à rechercher le répertoire AD dans la base de recherche définie. Le plus souvent, le Bind DN est autorisé à effectuer des recherches dans tout le répertoire. Le rôle du Bind DN est d'interroger le répertoire à l'aide du filtre de requête et de la base de recherche pour le nom unique pour authentifier les utilisateurs AD. Lorsque le nom unique est renvoyé, celui-ci et le mot de passe sont utilisés pour authentifier l'utilisateur AD.
      Relier le mot de passe (Bind Password) Mot de passe permettant d'authentifier l'utilisateur AD.
      Confirmer le mot de passe relié (Retype Bind Password) Confirmez le mot de passe.
      Nom d'attribut de connexion (Login Attribute Name) Nom avec lequel l'ID d'utilisateur entré par l'utilisateur distant est mis en correspondance. Pour Active Directory, le nom d'attribut de connexion est sAMAccountName.
      Filtre de recherche (Search Filter) Valeurs de filtre par lesquelles la recherche doit être limitée. Le format du filtre de recherche est attribute operator value.
      Utiliser ce serveur pour l'authentification secondaire (Use this server for secondary authentication) Si cette option est sélectionnée, ce serveur est utilisé comme deuxième niveau d'authentification.
      Fermer la session si l'authentification échoue (Terminate Session if authentication fails) Lorsque cette option est sélectionnée, la session se termine si l'authentification échoue.
    • Serveur d'authentification RADIUS

      L'authentification RADIUS est désactivée en mode FIPS.

      Tableau 3. Options du serveur d'authentification RADIUS
      Option Description
      Adresse IP (IP Address) Adresse IP du serveur externe.
      Port Affiche le nom du port par défaut. Modifiez-le si nécessaire.
      Délai d'expiration (Timeout) Période en secondes pendant laquelle le serveur AD doit répondre.
      État (Status) Sélectionnez Activé (Enabled) ou Désactivé (Disabled) pour indiquer si le serveur est activé ou non.
      Secret Secret partagé spécifié lors de l'ajout de l'agent d'authentification dans la console de sécurité RSA.
      Confirmer le secret (Retype secret) Confirmez le secret partagé.
      Adresse IP NAS (NAS IP Address) Adresse IP à configurer et utiliser comme attribut RADIUS 4, Adresse IP NAS, sans changer l'adresse IP source dans l'en-tête IP des paquets RADIUS.
      Nombre de tentatives (Retry Count) Nombre de tentatives de contact du serveur RADIUS à effectuer avant de faire échouer l'authentification si le serveur ne répond pas.
      Utiliser ce serveur pour l'authentification secondaire (Use this server for secondary authentication) Si cette option est sélectionnée, ce serveur est utilisé comme deuxième niveau d'authentification.
      Fermer la session si l'authentification échoue (Terminate Session if authentication fails) Lorsque cette option est sélectionnée, la session se termine si l'authentification échoue.
    • Serveur d'authentification RSA-ACE

      L'authentification RSA est désactivée en mode FIPS.

      Tableau 4. Options du serveur d'authentification RSA-ACE
      Option Description
      Délai d'expiration (Timeout) Période en secondes pendant laquelle le serveur AD doit répondre.
      Fichier de configuration (Configuration File) Cliquez sur Parcourir (Browse) pour sélectionner le fichier sdconf.rec que vous avez téléchargé à partir de RSA Authentication Manager.
      État (Status) Sélectionnez Activé (Enabled) ou Désactivé (Disabled) pour indiquer si le serveur est activé ou non.
      Adresse IP source (Source IP Address) Adresse IP de l'interface NSX Edge à travers laquelle le serveur RSA est accessible.
      Utiliser ce serveur pour l'authentification secondaire (Use this server for secondary authentication) Si cette option est sélectionnée, ce serveur est utilisé comme deuxième niveau d'authentification.
      Fermer la session si l'authentification échoue (Terminate Session if authentication fails) Lorsque cette option est sélectionnée, la session se termine si l'authentification échoue.
    • Serveur d'authentification local
      Tableau 5. Options du serveur d'authentification local
      Option Description
      Activer la stratégie de mots de passe (Enable password policy) Si cette option est sélectionnée, définit une règle de mot de passe. Spécifiez les valeurs requises.
      Activer la stratégie de mots de passe (Enable password policy) Si cette option est sélectionnée, définit une règle de verrouillage de compte. Spécifiez les valeurs requises.

      1. Dans Nombre de tentatives, tapez le nombre maximal de tentatives qu'un utilisateur distant peut effectuer pour accéder à son compte après l'entrée d'un mot de passe incorrect.

      2. Dans Durée de nouvelle tentative, tapez la période au terme de laquelle le compte de l'utilisateur distant est verrouillé lors de tentatives de connexion infructueuses.

        Par exemple, si vous spécifiez la valeur 5 pour Nombre de tentatives et 1 minute pour Durée de nouvelle tentative, le compte de l'utilisateur distant sera verrouillé s'il effectue cinq tentatives infructueuses de connexion en une minute.

      3. Dans Durée de verrouillage, tapez la période pendant laquelle le compte utilisateur reste verrouillé. Passé ce délai, le compte est automatiquement déverrouillé.

      État (Status) Sélectionnez Activé (Enabled) ou Désactivé (Disabled) pour indiquer si le serveur est activé ou non.
      Utiliser ce serveur pour l'authentification secondaire (Use this server for secondary authentication) Si cette option est sélectionnée, ce serveur est utilisé comme deuxième niveau d'authentification.
      Fermer la session si l'authentification échoue (Terminate Session if authentication fails) Lorsque cette option est sélectionnée, la session se termine si l'authentification échoue.
  5. (Facultatif) Ajoutez l'authentification du certificat client.
    1. En regard de Authentification de certificat (Certificate Authentication), cliquez sur Modifier (Change).
    2. Cochez la case Activer l'authentification du certificat client (Enable client certificate authentication).
    3. Sélectionnez un certificat client émis par l'autorité de certification racine et cliquez sur OK.
      Restriction :
      • Sur le portail Web de VPN-Plus SSL et le client d'accès complet de VPN-Plus SSL (client PHAT), le certificat client ou d'utilisateur qui est signé uniquement par l'autorité de certification racine est pris en charge. Le certificat client signé par une autorité de certification intermédiaire n'est pas pris en charge.
      • L'authentification du certificat client est prise en charge uniquement sur un client VPN-Plus SSL qui est installé sur un ordinateur Windows. Ce type d'authentification n'est pas pris en charge sur un client VPN-Plus SSL installé sur des ordinateurs Linux et Mac.